MESSAGETAP
Az APT41 (Advanced Peristent Threat) néven ismert kínai hackerek csoportját a MESSAGETAP nevű kifinomult hackereszköz segítségével észlelték. A MESSAGETAP rosszindulatú program első tevékenységét 2019 elején fedezték fel. Amikor az APT41 nem folytat pénzügyi indíttatású kampányokat, ez a hackeresztési csoport támadó kutyaként szolgál a kínai kormány számára. Ismert, hogy célzott szervezeteket és magánszemélyeket hoztak létre, akiket érdeklődésre számot tartanak a pekingi tisztviselők.
Konkrét szöveges szövegeket és célzott személyeket keres
A MESSAGETAP fenyegetés veszélybe sodorja a telekommunikációs vállalatokat és az SMS üzeneteket célozza meg. Ezt a hacker eszközt úgy programozták, hogy akár meghatározott személyeket célozzon meg, vagy bizonyos szöveges és kulcsszavakat keressen, amelyek jelen lehetnek az elfogott szöveges üzenetekben. A MESSAGETAP rosszindulatú programok telepítését Linux szerverekre hajtják végre. Ezeket a kiszolgálókat SMSC-ként (Short Message Service Centers) használják, amely a szöveges üzenetek fogadásához és kézbesítéséhez szükséges infrastruktúra. Amikor a MESSAGETAP rosszindulatú program sikeresen veszélyezteti a gazdagépet, akkor a 'kulcsszó_parm.txt' és a 'parm.txt' fájlokat fogja keresni. Az előbbi olyan kulcsszavak listáját tartalmazza, amelyeket a MESSAGETAP rosszindulatú programnak meg kell keresnie az elfogott szöveges üzenetekben. Ez utóbbi fájl azonban tartalmazza az IMSI (International Mobile Subscriber Identity) számok listáját, amelyek egyediak minden regisztrált felhasználó SIM-kártyáján, és felhasználhatók azon személyek azonosítására, akiket megcéloztak az APT41 kémkedési kampányában.
A gyűjtött adatokat rendszeresen továbbítják az APT41 szerverre
Ha mindkét fájlt a cél memóriájába ültették a MESSAGETAP rosszindulatú program kódja mellett, ez a fenyegetés a fájlok törlésével biztosan csökkenti fenyegető tevékenységeinek ujjlenyomatát. Ezután a MESSAGETAP hacker eszköz folytatja a támadást, amikor megkeresi azokat a szöveges karakterláncokat, amelyeket szippantásra programoztak, és a kritériumoknak megfelelő szöveges üzenetek egy listába kerülnek. A MESSAGETAP rosszindulatú program összegyűjti az egyes IMSI-számok szöveges üzeneteit és tárolja őket egy másik listában. A két lista adatait ezután időszakosan továbbítják a támadók szerverére. Valószínű, hogy az APT41 a MESSAGETAP hacker eszközt használja a politikai szervezetek, kormányzati szervek és katonai intézmények veszélyeztetéséhez, amelyeket globálisan relevánsak a kínai érdekek szempontjából.
A rosszindulatú programok szakértői nem biztosak abban, hogy az APT41 mennyire képes beszivárogtatni a távközlési szolgáltatókat, ám egyértelmű, hogy a kínai kormány nem habozik az internetes bűnözők szolgáltatásainak igénybevételével érdekeinek előmozdítása érdekében. Arra gondoltak, hogy a MESSAGETAP hackereszköz felhasználható a hongkongi tiltakozások elleni küzdelemben, és valószínűleg felhasználható a Pekingi-ellenes gyűlésekben részt vevő prominens személyek tevékenységei során.
